▼ 目次

1. はじめに

2. パスワードポリシーの基礎：ISMSでなぜ必須か？

3. 実務で使えるパスワードポリシーの作成ステップ

4. 具体例と参考例：パスワードポリシーの運用パターン

5. パスワード管理の運用コツ：ISMS初心者が押さえるポイント

6. 審査でのポイント：ISMSパスワードポリシーに関するチェック内容

7. 他社事例：パスワードポリシーで成功した企業

8. 失敗事例と回避策

9. Q&A：ISMSパスワードポリシーに関する疑問

1. はじめに

1.1. 本記事の目的と想定読者

ISMS（ISO27001）を運用するうえで「パスワードポリシー」はとても重要な管理策の一つです。弱いパスワードや使い回しが原因で企業が大きな損害を受ける事例が後を絶たず、審査や内部監査でもパスワードの設定と運用が本当にうまくいっているかが必ずチェックされます。

• この記事の目的:

  1. パスワードポリシーの基礎や意義を初心者向けにわかりやすく整理

  2. 具体例や参考例を通じて、社内で導入しやすい設定・運用方法を紹介

  3. ISMS審査で評価されるためのポイントや、よくある失敗回避のコツを提供

• 想定読者:

  • ISMS（ISO27001）認証を取得・更新したい企業の担当者・管理者

  • パスワード関連のリスク対策を強化したいが、具体的にどう始めればいいか分からない初心者

  • 内部監査や外部審査で“パスワード管理が甘い”と指摘され、改善策を探している人

1.2. ISMSパスワードポリシーとは？なぜ重要？

パスワードポリシーとは、企業や組織で利用するパスワード（システムログインやVPN接続など）を「どのくらいの長さや複雑さにするか」「どれくらいの頻度で変更するか」「使い回しをどう制限するか」などを明確に定めたルールのことです。

• 脆弱なパスワードはハッキングや情報漏えいの大きな原因

• パスワード使い回しや定期変更を強制しすぎると、かえって付箋に書いたり簡易化する人が増えてリスクに

• ISO27001の附属書A（アクセス制御など）でもパスワード保護が必須の管理策として強調される

1.3. この記事で得られるメリット

1. パスワードポリシーを作成するときのポイント（長さ、複雑度、変更ルールなど）を具体的にイメージできる

2. 参考例・運用事例を通じ、自社の状況に合わせた最適な設定・運用を検討できる

3. 審査員がチェックする項目（ログ管理、社員周知、実施証拠など）を把握し、ISMS審査をスムーズに進められる

2. パスワードポリシーの基礎：ISMSでなぜ必須か？

2.1. パスワード管理が甘いと起きるリスク

• 不正ログイン: 簡単に推測されるパスワードや漏えいしたパスワードで社内システムに侵入される

• 情報漏えい: 機密情報や個人情報が盗まれ、取引先との信用問題へ拡大

• 業務停止: 攻撃やランサムウェアでシステムが使えなくなる例多数

• コンサル経験談: あるIT企業が“password123”の使い回し多数→ メールアカウントを不正利用され、大量迷惑メール送信でドメイン信用低下

2.2. 附属書Aとの関連（管理策の要求）

• ISO27001附属書A: アクセス制御カテゴリで、認証情報（パスワード）を安全に管理することが求められる

• 審査員の視点: “具体的なルールを文書化し、社員が従っている証拠”を重視。ポリシーの存在だけでなく運用も確認

2.3. 初心者が理解すべき専門用語

• ハッシュ化: パスワードを平文で保管せず、ハッシュ（不可逆変換）として保存する技術

• 多要素認証（MFA）: パスワード以外にワンタイムパスコードや生体認証を組み合わせる認証方式

• ブラックリスト: “123456”“password”“qwerty”など、使わせたくない弱いパスワードのリスト

3. 実務で使えるパスワードポリシーの作成ステップ

3.1. ステップ①：目的と範囲の設定

1. 何を守りたいか？: 企業の主要システム、VPN、クラウドサービスなど

2. 範囲: 全社員？取引先にも適用？管理者アカウントと一般ユーザーでルールを変える？

3. 他社事例: 製造業A社は最初は管理者向けのみ厳格化→ 業務にはやや緩めの基準を適用し、段階的に統一

3.2. ステップ②：ポリシーの主要項目を定義

1. 複雑度: 例：「最低12文字、英大文字・小文字・数字・記号を各1種類以上含む」

2. 変更頻度: 例：「90日ごとに変更」「またはリスク高いシステムのみ30日サイクル」

3. 保護策: パスワードを書いたメモ禁止、パスワード管理ツール推奨など

4. コンサル視点: 厳しすぎるルールはかえって社員が抜け道を探す→ リスク評価で最適解を模索

3.3. ステップ③：承認と周知

1. 承認: 経営層やISMS委員会がドラフトをレビューし、正式決定

2. 社内告知: メール・イントラでの告知、研修のスライドなどで具体的説明

3. 失敗例: IT企業B社は告知が不十分で社員が混乱→ パスワード付箋だらけになり審査時に指摘

4. 具体例と参考例：パスワードポリシーの運用パターン

4.1. 複雑度や変更ルールの設定

1. 例: 「12文字以上、英大文字・小文字・数字・記号を1種類以上含む。連続3文字はNG」

2. 変更期間: 従来は60〜90日が一般的。最近は「大文字・小文字・数字・記号で強固にして、頻繁には変えない」など新指針も

3. コンサル経験: あるサービス企業で、厳しすぎるルールにしたらパスワード付箋貼りが横行→ リスク増でルールを再調整

4.2. ロックアウトや多要素認証（MFA）

1. ロックアウト設定: 連続失敗3回でアカウントを一時ロックし、管理者が解除

2. MFA: 特に管理者アカウントやVPNログインは“パスワード＋ワンタイムパスコード”を併用

3. 審査好印象: “リスクに応じてMFAを導入し、アクセス制御を強化”→ しっかり考えられた対策と評価

4.3. 忘れた場合のリセット手順

1. 手順例: 「社員がIT部門に連絡→ 本人確認→ 一時パスワード（24時間有効）発行→ 初回ログインで強制変更」

2. 注意: メール送信時の漏えい対策や、本人確認プロセスの甘さで第三者がリセットできないように注意

3. TIP: eラーニングやマニュアルで“パスワードリセット時の流れ”を社員に周知

5. パスワード管理の運用コツ：ISMS初心者が押さえるポイント

5.1. 周知徹底と社員教育

• 文書化: パスワードポリシーをPDFかイントラにわかりやすくまとめる

• 研修: 新人研修や定期セキュリティ勉強会で“安全なパスワードの作り方”を説明。演習問題も効果的

• 他社事例: IT企業B社は新人に“パスワードハッキング実験”を体験させ、危険性をリアルに実感させた→ 遵守率UP

5.2. 定期監査やログ監視

1. 監査: 内部監査で社員アカウントのパスワード有効期限、設定要件をシステム管理画面でチェック

2. ログ監視: ログイン失敗回数や深夜ログインなどを検出→ 不審アカウントのパスワードリセット検討

3. コンサル視点: “実際に数字やログで管理されているか？”が審査でも大きな評価材料

5.3. インシデント発生時の対応と改善

1. やり方: 万一漏えいや不正ログインが起きれば、迅速に影響範囲を特定し、全社員にパスワード変更を促す

2. PDCAサイクル: 事故を踏まえてポリシーを再検討。例えば“MFA必須範囲を拡大”など

3. 成功事例: 製造業A社が“1件の漏えい”をきっかけにMFA導入へ踏み切り、以降はインシデントゼロで審査も好評価

6. 審査でのポイント：ISMSパスワードポリシーに関するチェック内容

6.1. 文書と実態の整合

• 審査員: 「ポリシー上は12文字以上だが、実際のシステム設定では8文字でもOKになってない？」と問い質す

• 対策: システムのパスワードポリシー設定（Active Directoryなど）と文書を一致させる

6.2. 運用ログや監査状況

1. 質問例: 「社員のパスワード期限切れ率は？失敗ロックの履歴はどこに？」

2. 具体例: IT企業B社はIAM（Identity and Access Management）ツールでログを集計し、月次報告→ 審査にも提示

3. メリット: “運用が形だけでない”と示せ、評価が上がる

6.3. リスクアセスメントとの関連

• セキュリティリスク評価: “パスワード破り”の脅威を“高”と判断したなら、MFAや複雑度強化を必須化

• コンサル視点: リスク表とポリシーが連動していると審査員にも論理的にアピールできる

7. 他社事例：パスワードポリシーで成功した企業

7.1. 製造業A社：運用強化でインシデント激減

• 背景: 社員のパスワードが短く、同一パスワード使い回しが多かった→ 漏えい・不正ログイン事故が発生

• 対策: ポリシーを“12文字以上、英大文字・小文字・数字含む”に変更、パスワード管理ツール推奨

• 成果: インシデント報告が激減。審査でも“運用状況のデータ”を出し高評価を得た

7.2. IT企業B社：MFAとポリシー併用で強固な認証

• 手法: 管理者アカウントやVPNログイン時にMFA必須＋ 一般社員は複雑度高いパスワードルールを徹底

• 審査: “リスクに応じた段階的対策”として評価され、更新審査を難なくクリア

• TIP: パスワードだけでなく、スマホアプリやハードトークン利用で攻撃リスクを大幅低減

8. 失敗事例と回避策

8.1. ルールが厳しすぎて社員が回避

• 原因: “15文字必須、30日変更”など過度に厳格→ 社員がメモに書いたり、パスワードを類似パターンにする

• 回避策: リスク評価で最適な長さや頻度を検討。MFA併用で過度な複雑度を緩和

8.2. 変更ルールに従わず放置

• 原因: システムで期限管理されておらず、ユーザーが変更せずに放置

• 回避策: パスワード期限が切れたらログイン不可にする設定、担当者が定期的に監査

8.3. システム上は新ポリシーでも、ドキュメント未更新

• 原因: ツールやサーバー設定は変えたのにマニュアルは旧ルールのまま

• 回避策: 変更管理プロセスで“ドキュメント更新もセット”にし、内部監査で適合性チェック

9. Q&A：ISMSパスワードポリシーに関する疑問

9.1. 「パスワードをどのくらいの頻度で変えるべき？」

• 回答: 従来は60〜90日が主流だが、近年は長くて強固なパスワードを基本にし、頻繁な変更よりMFA併用などリスク対策を強化する動きもある

9.2. 「同じパスワードを使い回すのはやはりNG？」

• 回答: 基本的にNG。漏えいした際に複数システムに波及する。管理者アカウントは絶対に使い回ししない

9.3. 「小規模企業でも多要素認証が必要？」

• 回答: リスクによる。管理者や機密データを扱うアカウントはMFAが推奨。導入コストも下がっているので検討価値大

9.4. 「パスワードレス認証はどう扱う？」

• 回答: FIDO2などパスワード不要の仕組みが増えている。ISMS上は“認証の強化策”として扱い、従来のパスワードとの混在ルールを明確化

10. まとめ：ISMSパスワードポリシーとは？実務で使える参考例と具体例を徹底紹介！

10.1. 記事の総括：ポイントの再確認

1. パスワードポリシーはISMS運用で必須のアクセス制御策。弱いパスワードや使い回しを防ぐことが目的

2. 具体例: 複雑度（文字数・文字種）、変更頻度、ロックアウト、MFAなどをリスクに応じて設定

3. 運用のコツ: 文書化・社員教育・定期監査をちゃんと回す。インシデント対応時は即ポリシー見直し

4. 審査対応: “文書と実態が一致”し、“リスク評価と連動”しているかがポイント。ログ・証拠を提示できれば高評価

10.2. 次のアクション：初心者が始められるステップ

1. 現状把握: 現行パスワードルールや実態を調査。社員へのアンケートも有効

2. ポリシー案作成: リスク評価に基づき、複雑度やMFA適用範囲を決める

3. 承認と周知: 経営層・セキュリティ委員会の認可後、メールや研修で社員に徹底

4. 運用監査: ログや失敗回数を定期チェック→ 問題あれば是正し、審査に備える

あとがき

パスワードが脆弱なままだと、大きな情報漏えいやシステム停止につながるリスクが非常に高いです。ISMSパスワードポリシーをしっかり策定し、文書と運用を一致させることで、審査でも“リスクに応じた管理策”として評価され、また日常のセキュリティレベルも確実に上げられます。本記事の具体例やコンサル経験のヒントを活かして、自社に適したパスワードポリシーを作り上げ、従業員が実際に守れるルールと仕組みを整えることが、ISMS成功と安全な業務運用への最短ルートとなるでしょう。

この記事の監修者情報

金光壮太 (ISOコンサルタント)

大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている